»White Hat Hacking« ist ein wichtiger Bestandteil moderner Sicherheitsstrategien und muss deshalb auch in Deutschland straffrei werden. Der VDA fordert deshalb die zügige (Wieder-)Aufnahme der Gesetzesnovellierung zum Computerstrafrecht.
In einer zunehmend digitalisierten Welt wird Cybersicherheit immer wichtiger. Das betrifft alle Produkte mit Internetschnittstelle, aber Fahrzeuge ganz besonders. Denn, sollte ein Fahrzeug gehackt werden, führt dies nicht nur zu Unannehmlichkeiten für Fahrer und Besitzer, sondern kann auch ein gesellschaftliches Sicherheitsproblem werden. Gleichzeitig gibt es in Deutschland immer noch Rechtsunsicherheiten für Sicherheitsforschende – für nicht-beauftragte wie beauftragte –, die Sicherheitslücken aufdecken, um deren Behebung zu ermöglichen, bevor ein gesellschaftlicher oder wirtschaftlicher Schaden entstanden ist. Als essenzieller Bestandteil moderner Sicherheitstechnologien muss dieses sogenannte »White Hat Hacking« auch in Deutschland straffrei werden.
Angesichts der zunehmenden Vernetzung und Digitalisierung in der Automobilindustrie sind auch Fahrzeughersteller verpflichtet, die Sicherheit ihrer Produkte kontinuierlich zu überprüfen und potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben. Penetrationstests gelten hierbei als ein zentrales Instrument, um die Wirksamkeit von Cybersecurity-Maßnahmen zu validieren. Allerdings steht die Branche vor einem erheblichen Spannungsfeld: Während gesetzliche Vorgaben, wie die UNECE-Regulierung R155 in Verbindung mit der EU-Verordnung 2019/2144, invasive Tests vorschreiben, kriminalisieren die derzeitigen Bestimmungen des Strafgesetzbuchs (§§ 202a ff. StGB) solche Tests unter bestimmten Bedingungen.
Nach § 202a Abs.1 StGB macht sich heute strafbar, wer unter Überwindung einer Zugangssicherung (z. B. einem einfachen Passwortschutz) unbefugt (d. h. ohne explizite Zustimmung) in Computersysteme eindringt und dadurch Zugang zu Daten erlangt, die nicht für ihn oder sie bestimmt sind. Im Hinblick auf Personen, die mit Schädigungsabsicht Computersysteme »hacken«, ist es absolut sinnvoll, dass diese strafrechtlich belangt werden können. Gleichzeitig schafft dieses Gesetz aber eine Rechtsunsicherheit für Personen, die die Zugangssicherung von Computersystemen zu überwinden versuchen, um Sicherheitslücken aufzudecken, bevor ein Schaden entstanden ist, wenn sie dies ohne ausdrückliche Zustimmung aller berechtigten Parteien tun.
Die Einholung der notwendigen, umfassenden Zustimmung ist einfacher gesagt als getan. Sie gestaltet sich in der komplexen Lieferkette der Automobilindustrie als äußerst schwierig, insbesondere da Fahrzeugsoftware oft zahlreiche Komponenten von Drittanbietern enthält. Insbesondere, aber nicht nur für unabhängige Sicherheitsforscher ist es meist unmöglich, eine solche Zustimmung einzuholen. Das Ergebnis ist ein rechtlicher Graubereich, der insbesondere die Verfügbarkeit von Testergebnissen unabhängiger Sicherheitsforschender reduziert, die aus Sorge vor Strafverfolgung ihre Erkenntnisse den Herstellern gegenüber dann gegebenenfalls nicht offenlegen, was in Konsequenz die Cybersicherheit von Fahrzeugen gefährdet.
Die Folge dieser Situation ist paradox: Während ehrliche Sicherheitsforscher zurückhaltend agieren oder gefundene Schwachstellen nicht offenlegen, haben böswillige Hacker (»Black Hat Hacker«) leichteren Zugang und können Sicherheitslücken ausnutzen. Dies führt zu einem wachsenden Wissensvorsprung der Angreifer gegenüber den Herstellern. Zudem droht durch diese restriktive Gesetzeslage ein Brain-Drain, da qualifizierte Fachkräfte ihre Expertise in weniger restriktiven Ländern einsetzen könnten.
Im November 2024 war es bereits so weit. Das Bundesjustizministerium hatte einen Entwurf zur Anpassung des Computerstrafrechts erstellt, die Verbändeanhörung hatte stattgefunden und das Ergebnis berücksichtigte einen Großteil der Interessen der Automobilindustrie. Doch dann verhinderte der vorzeitige Regierungswechsel die Einbringung des Gesetzesentwurfs in den parlamentarischen Prozess und die so dringend benötigten Änderungen des Computerstrafrechts wurden nicht umgesetzt. Die Forderung nach einer Anpassung des Computerstrafrechts schaffte es im Jahr 2025 dann zwar in den Koalitionsvertrag, aber bisher nicht in einen weiteren Umsetzungsvorschlag.
Der VDA fordert die zügige (Wieder-)Aufnahme der Gesetzesnovellierung. In der Novellierung soll dabei nicht nur das legale Erkennen und Melden von Sicherheitslücken erleichtern werden. Die Intention der Tester ist als entscheidendes Kriterium mit einzubeziehen. Eine positive Intention zeichnet sich beispielsweise durch einen verantwortungsvollen Umgang mit entdeckten Schwachstellen, einen Beitrag zur Verbesserung der Systemsicherheit sowie den Schutz der Hersteller und Nutzer aus. Negative Absichten, wie die Ausnutzung von Schwachstellen zu finanziellen Vorteilen über eine Bug Bounty hinaus oder die verantwortungslose Veröffentlichung von Daten, sollen hingegen weiterhin strafrechtlich verfolgt werden.
Der VDA plädiert zudem gegen eine Zertifizierungspflicht oder Akkreditierung von unabhängigen Sicherheitsforschern, da dies der Community widersprechen und Missbrauch durch Black Hat Hacker begünstigen könnte. Stattdessen soll ein rechtlicher Rahmen geschaffen werden, der ethisch motivierte Tests erlaubt und zugleich klare Regeln für den Umgang mit den gewonnenen Erkenntnissen definiert (»Coordinated Vulnerability Disclosure«).
Insgesamt soll eine widerspruchsfreie und praktikable Regelungslandschaft zeitnah gesetzlich verankert werden, die es Herstellern, beauftragten Testern und unabhängigen Sicherheitsforschern ermöglicht, ihre Arbeit ohne Strafverfolgungsrisiko auszuüben. Dadurch soll die Cybersicherheit von Fahrzeugen nachhaltig gestärkt und das Vertrauen der Nutzer in die Sicherheit moderner Mobilität erhöht werden.
[1] Cybersecurity-Tests, Anpassung des Strafrechts bezüglich der Durchführung von Cybersecurity-Tests, VDA-Positionspapier, August 2024
Dr. Kirsten Matheus
ist Senior Expert beim VDA für die Schwerpunkte Digitalisierung, Cybersicherheit und Daten.